CoinFubi

GlassWorm 恶意软件于十月首次出现在市场，通过隐藏在使用“不可见”Unicode字符的恶意扩展中。
第四波 GlassWorm 攻击正针对 macOS 开发者，利用恶意 VSCode 扩展分发带有木马的加密钱包应用版本。
Koi Security 研究人员发现了一起新的 GlassWorm 活动，专门针对 macOS 系统，与此前仅针对 Windows 的攻击不同。

最新的 GlassWorm 攻击在 OpenVSX 扩展的编译 JavaScript 中嵌入 AES-256-CBC 加密载荷，涉及以下三个扩展：1. studio-velte-distributor.pro-svelte-extension 2. cudra-production.vsce-prettier-pronull 3. Puccin-development.full-access-catppuccin-pro-extension。
恶意逻辑在延迟 15 分钟后执行，可能是为了规避沙箱环境中的分析。

不再使用 PowerShell，而改用 AppleScript；并且不再通过修改注册表实现持久化，而改用 LaunchAgents。

基于 Solana 区块链的指挥与控制（C2）机制保持不变，研究人员表示也存在基础设施重叠。

此外，它新增了在主机上检测硬件加密钱包应用（如 Ledger Live 和 Trezor Suite）的能力，并将它们替换为带有木马的版本。

下载计数显示超过 33,000 次安装，但此类数字常被威胁行为者操控，以提高文件的可信度。

已安装上述任意三个扩展的开发者建议立即删除它们，重置其 GitHub 账户密码，撤销其 NPM 令牌，检查系统是否有感染迹象，或重新安装相关软件以降低风险。

GlassWorm 恶意软件已扩大到针对 macOS 开发者，通过 OpenVSX 市场分发带木马的加密钱包扩展。

该行动最初于十月被发现，通过在扩展中嵌入使用不可见 Unicode 字符的恶意代码来躲避检测并获取对主机的访问。

最新一波在三个 OpenVSX 扩展中以编译 JavaScript 嵌入 AES-256-CBC 加密载荷：studio-velte-distributor.pro-svelte-extension、cudra-production.vsce-prettier-pronull 和 Puccin-development.full-access-catppuccin-pro-extension。

恶意逻辑在延迟 15 分钟后执行，可能是为了规避沙箱分析，并将持久化从 PowerShell 转为 AppleScript，使用 LaunchAgents 而非注册表修改。

基于 Solana 区块链的 C2 基础设施仍在，研究人员指出基础设施存在重叠，攻击活动也在持续演变。

更新还引入了检测主机上 Ledger Live、Trezor Suite 等硬件钱包并将其替换为带木马版本的能力，从而扩大攻击面。

下载计数超过 33,000 次安装，尽管威胁行为者常常操纵数字以让文件看起来更可信。

已安装上述任意三个扩展的开发者应立即移除它们，重置 GitHub 密码，撤销 NPM 令牌，检查系统是否有感染迹象，或重新安装相关软件以降低潜在风险。